FSG 수동언패킹 [ Lena21 ]

FSG Unpacking

1> 패킹 여부 확인

실행파일은 현재 FSG로 패킹 되어있다

2> Ollydbg 코드 분석    * FSG 특징 - JMP코드를 연속으로 3개 사용한다

해당 부분을 찾아서 break를 걸어주고 실행시켜 보자

3> 원본파일 OEP확인

마지막 점프명령을 실행시키면 0x00404000 주소로 이동한다

0x00404000 = OEP !

4> OEP주소부터 덤프파일로 저장

Plugins - Ollydump - Dump debugged process -> dump파일로 저장 ( OEP와 EP확인 후 덤프 ! )

Import는 Import REC를 통해서 복구한다

5> Import REC를 통한 IAT복구

OEP수정 후 "AutoSearch" 클릭 => RVA와 Size가 구해진다

RVA로 지점으로 직접 이동해서 맞는 주소인지 확인해야한다

AutoSearch로 구해진 주소 윗 부분에 포함되지 않은 IAT정보가 있었다

RVA 주소를 수정해야한다

RVA수정 후 "Get Imports" 클릭한 상태이다

unvalid한 값들은 모두 "Cut thunks"를 통해서 제거해주자

user32.dll 과 kernel32.dll 만이 남았다

남은 IAT정보들을 위에서 저장한 dump파일에 FIX한다

6> 결과확인

정상적으로 파일이 실행된다

PEiD로 확인해보면 Nothing Found가 나오는데 원인은 알수없다 ...